CYBERSÉCURITÉ
Proximité Tactique Transparence
SIEM ou MDR ? Il y a beaucoup de confusion entre le MDR (Managed Detection and Response) et le SIEM (Security Information and Event Management). Alors que le MDR est plutôt un outil automatisé de détection des menaces les plus probables de survenir, le SIEM quant à lui vise plus large afin d’intercepter tout incident potentiel pouvant mettre une organisation à risque, et ce, autant de l’interne que de l’externe. Il collecte les journaux de tous les dispositifs présents sur le réseau et effectue des corrélations afin
d’identifier les tentatives d’attaques. En somme, le SIEM est beaucoup plus complet qu’un MDR dont l’action est limitée. Toute entreprise se spécialisant en cybersécurité aura tout avantage à travailler avec un SIEM si elle veut protéger adéquatement ses clients des attaques. Voici un tableau comparatif permettant de mieux différencier les deux services. Tout est une question de culture d’entreprise et de gestion de risques.
SIEM
MDR
Approche globale permettant d’identifier tout incident potentiel.
Approche ciblée sur les menaces les plus probables.
Cueillette d'informations globale à des fins d'analyse d'éventuels incidents grâce à une vision plus large. Par exemple, la détection d'utilisation de services non autorisés et/ou anormaux tels que les copies de sauvegardes.
Identification des journaux significatifs uniquement (vision plus restreinte des cybermenaces mettant à risque votre entreprise : plusieurs données ne sont pas captées par le MDR, comme une erreur de configuration qui peut présenter une grande vulnérabilité pour votre réseau et ses données).
Savoir qui fait quoi et quand (et a accès à quoi). Ex. : Un employé qui a accès aux dossiers de paie ou qui exporte des données clients (Desjardins).
Cueillette d’informations à des fins d’intervention sur les événements significatifs seulement.
Détecte les changements humains de configuration/ sécurité, que ce soit dans le Cloud ou local (modification des groupes de sécurité, ajout de nouveaux équipements, etc.)
Cueillette d’informations à des fins d’intervention sur les événements significatifs seulement.
Détection des mauvaises pratiques (comptes modifiés sans autorisation, erreurs techniques, interventions sur le réseau par les administrateurs sans justification).
Cueillette d’informations à des fins d’intervention sur les événements significatifs seulement.
Possibilité d’investiguer manuellement dans les journaux afin d’intervenir et/ou de sortir des rapports entièrement personnalisables pouvant être utilisés à des fins légales.
Possibilité d’intervenir uniquement sur les événement suspects détectés.
Surveillance gérée par une équipe de professionnels connaissant bien le réseau pour détecter les anomalies et anticiper d'éventuelles attaques. Possibilité de juger du niveau de criticité et d'insister pour la résolution de l'incident.
Surveillance déléguée à de l’intelligence artificielle et des analystes ''génériques'' (outil automatisé, une intervention humaine se fait uniquement lorsqu’une menace est détectée).
Travail à temps plein par plusieurs ressources.
Travail à la demande.
6655, boulevard Pierre-Bertrand, bureau 301 Québec (Québec) G2K 1M1 (418) 872-4744
ars-solutions.ca